IBM запустила изолированное решение для холодного хранения цифровых активов

IBM представила новое решение для холодного хранения цифровых активов под названием Hyper Protect Offline Signing Orchestrator (OSO). Оно предлагает дополнительные уровни безопасности, включая операции в автономной сети и одобрение электронных транзакций несколькими заинтересованными сторонами.


Hyper Protect OSO представляет собой механизм политики, который обеспечивает связь между двумя различными приложениями, которые не предназначены для прямого взаимодействия друг с другом.

IBM сотрудничала с Metaco Harmonize, поставщиком услуг по хранению цифровых активов, а также с ведущими банками, чтобы гарантировать, что OSO отвечает требованиям клиентов. Metaco Harmonize предлагает безопасную систему оркестрации для приложений цифровых активов. OSO выступает в качестве посредника между двумя компонентами Metaco, работающими в отдельных экземплярах виртуального сервера Hyper Protect: Harmonize Core, доступным извне для получения запросов на подпись, и изолированным Harmonize Cold Vault.

В IBM отмечают, что наиболее распространённым вектором атаки на традиционные холодные хранилища внутри организации считаются инсайдерские атаки. Администраторы IT-систем также могут использовать свои привилегии для манипулирования политиками. Наконец, существуют риски операционных ошибок из-за неправильного выполнения задач, а при росте транзакций их число будет только увеличиваться.

Hyper Protect OSO устраняет необходимость выполнения ручных процедур для транзакций холодного хранения. Это снижает затраты на администрирование и риски, поскольку никто, даже администраторы центров обработки данных или приложений, не имеют доступа к данным.

Клиенты могут назначать аудиторов из отдельных направлений бизнеса для проверки и одобрения или отклонения транзакций, добавляя функцию человеческого контроля. Они также могут установить два таймера: один для того, как часто должна подписываться или проверяться транзакция, а второй для публикации в блокчейне. Например, клиент может решить разрешить выполнение подписи и проверки в холодном хранилище каждые 5–10 минут, каждый час или один раз в день, тогда как фактическая публикация в блокчейне может выполняться через 1–2 дня. В случае атаки с вымогательством злоумышленнику придётся ждать публикации, а это позволит вмешаться правоохранительным органам.

Все необходимые задачи можно объединить в одной системе, работающей в конфиденциальной вычислительной среде в изолированных анклавах или логических разделах (LPAR) на IBM Z или IBM LinuxONE. Каждый LPAR имеет собственную операционную систему, память и гипервизор, а также оценку по общим критериям на уровне EAL 5+. Решение предотвращает доступ приложения, работающего в одном LPAR, к данным приложения, работающего в другом LPAR в той же системе. OSO использует зашифрованную однонаправленную связь в памяти, основанную на IBM HiperSockets.

Систему развернули в IBM Hyper Protect Virtual Servers, которое обеспечивает сквозную защиту — от развёртывания данных до их использования. OSO безопасно передает данные между «горячей» (онлайн) и «холодной» (офлайн) системами.

Чтобы начать работу с Hyper Protect Offline Signing Orchestrator, клиенту потребуются IBM LinuxONE III или IBM z15 или более поздней версии, которые могут размещаться в собственном центре обработки данных или у поставщика. Также необходимы виртуальные серверы IBM Hyper Protect, которые необходимо настроить перед развёртыванием OSO.

Hyper Protect Offline Signing Orchestrator стала общедоступной 8 декабря.

08.12.2023
https://habr.com/ru/news/779262/​